curl: Severity HIGH security problem to be announced with curl 8.4.0 on Oct 11

[TRex]

We are cutting the release cycle short and will release curl 8.4.0 on October 11, including fixes for a severity HIGH CVE and one severity LOW. The one rated HIGH is probably the worst curl security flaw in a long time.

The new version and details about the two CVEs will be published around 06:00 UTC on the release day.

CVE-2023-38545: severity HIGH (affects both libcurl and the curl tool)
CVE-2023-38546: severity LOW (affects libcurl only, not the tool)
Now you know. Plan accordingly.

Keine Infos verfügbar, bis der Patch für alle bereit steht. Mit der Ankündigung sollten aber alle, die irgendwo curl gegen was anderes als eigene Systeme benutzen, sich auf ne schnelle Reaktion gefasst machen.

[TRex]

https://daniel.haxx.se/blog/2023/10/11/curl-8-4-0/

HIGH betrifft die Verwendung mit SOCKS5. Ich bin gleichermaßen enttäuscht und erleichtert.

[Meillo]

Ich bin gleichermaßen enttäuscht und erleichtert.

[rhHeini]

Das Ganze ist möglicherweise ein KI-Hoax: https://mastodon.social/@bagder/111209297284373489

Aus Fefes Blog vom 10.10.2023

[TRex]

Nein. Du findest im Blogeintrag (verlinkt im zweiten Beitrag) die ausführliche Analyse seitens der curl-Entwickler und darin auch den ursprünglichen report auf hackerone (1), der nun öffentlich ist.

(1) https://hackerone.com/reports/2187833